[分享] 新版ISO 27701之改變和轉版規劃

新版ISO 27701標準已於2025-10-14發布，正式成為可獨立實施和驗證的隱私資訊管理系統標準，新版標準採用了調和結構 (Harmonized Structure)，包括建立管理體系的本文4~10章，內容架構採用相同標題和文字，方便組織和其他標準進行整合。

在新版標準的附錄A，則針對「PII控制者 (A.1)」和「PII處理者 (A.2)」兩個角色，說明它的控制目標和控制措施。另外，也新增了兩個角色在資安方面需考量的控制措施 (A.3)，並且在附錄B提供了控制措施實作的參考指引，以下列舉新版標準主要的調整和變動。

管理體系的調整

- 原本文5.2~5.8調整為4~10，建立完整的高階管理架構，讓組織更容易和其他標準對齊。

- 原本文6~8調整為新版的附錄B實作指引。

- 原舊版中的附錄A和B，在新版中調整為A.1和A.2，並新增A.3 資安控制措施 (A.3.3~A.3.31)。

控制措施的調整

- 原附錄A.7.2~A.7.5針對「PII控制者」的控制措施，新版調整為附錄A.1.2~A.1.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私及預設保護隱私，以及PII 共享、傳輸及揭露，一共有31個控制措施。

- 原附錄B.8.2~B.8.5針對「PII處理者」的控制措施，新版調整為附錄A.2.2~A.2.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私，以及預設保護隱私及PII 共享、傳輸及揭露，一共有18個控制措施。

- 取消原條款6 ISO 27002 資安控制措施指引，新增附錄A.3「PII控制者和PII處理者的安全事項」，挑選了包括A.3.3~A.3.31共29個資訊安全控制措施，同時也提供了附錄B.3 「PII控制者和PII處理者的實作指引」作為參考。

轉版規劃與準備

目前各家驗證公司還沒有發布轉版的時程 (個人預估最晚在2026 Q3)，但對於已持有舊版證書，準備要進行轉版的組織而言，可以先透過以下步驟進行規劃與準備：

1. 進行差異分析：可對照舊版和新版的要求事項，評估目前的差異，包括本文新增的條款6.3變更之規劃、條款6.1.3要求建立資訊安全計畫 (information security programme)，以及附錄A.3的29個資安控制措施。

2. 制訂轉版計畫：包括資源的準備，轉版工作的職責分配，本文4~10章管理體系各項流程實施完成時間的安排。

3. 實施新版要求：修訂管理制度文件，實作隱私控制措施，包括隱私風險評鑑和隱私風險處理、更新適用性聲明 (對應新版條款) 及隱私目標規劃與量測等，並且完成內部稽核和管理審查。

4. 申請轉版驗證：跟驗證公司確認轉版稽核時間，安排受稽人員和場地設施，以便順利取得新版證書。

[分享] ISC2 人工智慧策略建構證書

長久以來，ISC2 的 CISSP 證照一直是資安相關人員學習和追求的目標，隨著人工智慧的應用愈來愈受到重視，雖然 ISC2 目前還沒有針對AI推出個人證照，但為了強化資安相關人員對於AI的專業知識，因此在今年推出了「人工智慧策略建構證書 (Building AI Strategy Certificate)」，藉由線上完成與AI有關的課程，協助資安相關人員獲得為組織建立AI的管理基礎知識，以及了解合乎道德與安全考量的人工智慧應用方式。

課程簡介

人工智慧策略建構證書一共包括了以下六門課程主題，參與學習的夥伴們，在完成每堂課程之後，只要在課程評估測驗中，答對70%的考題 (選擇題)，就可以取得單堂課程的證書。若是完成全部的六門課程和評估測驗，即可獲得「建立人工智慧策略證書」的 Credly 數位徽章。

課程主題：

• 人工智慧在網路安全中的應用 (AI for Cybersecurity): 了解人工智慧在網路安全中的作用，以及傳統安全方法和人工智慧專用安全方法對安全風險的影響。
• 人工智慧安全 (AI Security): 探索在保持關鍵的人工監督的同時，可優化 AI 驅動的安全議題，以管理過度自信的情況。
• 與全球人工智慧法規保持一致 (Aligning with Global AI Regulations): 了解將人工智慧安全框架與整體網路安全原則保持一致的複雜性，比較與人工智慧相關的特定安全框架和標準以及支撐安全人工智慧實踐的原則。
• 人工智慧的基礎 (Foundations of AI): 學習人工智慧安全基礎知識，藉由熟悉人工智慧的相關定義，以了解人工智慧應用和實施所帶來的影響。
• 規劃具有安全設計的人工智慧 (Planning for Secure by Design AI): 如何從策略角度將安全性融入人工智慧的營運之中，了解安全的人工智慧的實施要求，以及如何將傳統網路安全原則與人工智慧治理框架進行整合。
• 不斷發展的網路安全人才隊伍 (The Evolving Cybersecurity Workforce): 透過探討人工智慧對網路安全人才隊伍的影響，並分析有關領導力的考量與策略。

授課方式：

• 方式：線上隨選學習，可獲得 CPE 16 學分 (16 小時)
• 語言：英語
• 教材：文字、影片、案例說明
• 費用：640美元 (ISC2會員可打8折為512美元)

以上是和課程有關的資訊 (內容說明來自 ISC2網頁)，提供給有興趣的夥伴參考，就我個人參與的經驗，內容沒有太過技術的內容，適合初階或想了解AI管理架構的夥伴來進修學習。

[分享] 通過 Trusted AI Safety Expert (TAISE) 考試

隨著人工智慧的議題持續在全球發燒，雲端安全聯盟 (CSA) 在2025年10月底也正式推出了「可信賴人工智慧安全專家 (Trusted AI Safety Expert, TAISE)」的認證計畫，這是雲端安全聯盟與美國東北大學 (Northeastern University) 共同合作所推出的一個針對人工智慧安全的訓練與認證，可以幫助對人工智慧有興趣的人員，藉由參與完整的培訓課程，獲得跟人工智慧有關的專業知識。

課程內容

TAISE的課程，目前是採取線上自主學習的方式，內容包括了以下10個單元模組，並且提供了免費下載的「TAISE Prep Kit」，讓有意想取得這個認證的人員，可以清楚的掌握課程的架構與學習方向。

Module 1: Introduction to AI (人工智慧導論)

Module 2: Generative AI Architecture and Design (生成式人工智慧架構與設計)

Module 3: AI Use Cases: GenAI, Multimodal, and AI Agents (人工智慧應用案例：GenAI、多模態和人工智慧代理)

Module 4: Fairness, Accountability, and Explainability in AI (公平性、問責和可解釋性)

Module 5: AI Model Lifecycle and Threat Taxonomy (人工智慧模型生命週期與威脅分類)

Module 6: Model Governance, Risk Management, and Compliance (模型治理、風險管理與合規性)

Module 7: Introduction to AI Safety and Security (人工智慧安全導論)

Module 8: Cloud and AI Security (雲端和人工智慧安全)

Module 9: Data Security & Privacy in AI Systems (人工智慧系統中的資料安全與隱私)

Module 10: Continuous Learning and Adaptation (持續學習與適應)

就我個人的上課體驗，覺得課程內容相當扎實，可能是與學校合作的關係，教材的品質非常好，搭配適當的影片解說和補充的參考資料，可以對人工智慧的發展歷史、機器學習的技術、人工智慧模型生命週期、人工智慧的安保與安全，以及模型治理和法規，能夠獲得全盤的了解。

但對初學者而言，由於內容橫跨了包括人文、心理、數學、資訊及法律學科，資訊量有點大，可能需要一點時間消化和吸收，未來若CSA有提供真人線上和線下進行的課程，可能會更有助於討論和學習。

關於考試

TAISE考試同樣秉持著CSA以往為了確保過程嚴謹又容易參加的精神，採取了以下的方式進行 (參考自CSA官網) ，只是這次比較特別的是課程與考試費用綁在一起，也就是必須同時購買線上課程才能獲得考試資格，目的應該是為了讓考生可以接受完整的課程訓練。

形式：線上、開卷 (Open book)

題目： 60題選擇題 (單選)

時間： 120分鐘

及格分數： 80%

可考試次數： 2 次 (可補考1次，有效期限 2 年)

費用：795美元 (課程+考試)

就我個人的考試經驗，考題相當有難度 (不像範例試題直覺簡單)，英文試題雖然不長但也很折磨人，需要清楚了解AI相關名詞的定義，並且配合課程所學習的知識，才能做出正確的判斷，憑自己的力量考過會是很有成就感的，此課程對有意想在AI領域發展的夥伴們也會是一個好選擇。

我的證書 badge: https://www.credly.com/badges/dc8c713c-61ae-4a70-bb79-fd03f45becde

[新知] Google 發布最新的代理支付協議 (AP2)

昨天 Google 正式發布了最新的 Agent Payment Protocol (AP2) 的 AI 支付協議，擴展了原本 Google 讓不同的 Agent 之間可以協同合作的 A2A (Agent2Agent Protocol) 協定，進一步使 AI Agent 可以根據人類的需求，自動化地完成商品的搜尋、加入購物車，甚至直接支付款項完成交易。

當然，只要跟錢有關的事情，對使用者而言第一個想到的就是交易過程安不安全？會不會在未經使用者同意之下，AI Agent 就自己亂花錢，或是買了不想要的商品。而對商家來說，關注的則是跟資安有關的不可否認性 (Non-repudiation)，如何佐證這筆交易的確是經過真人的授權，而且是基於使用者的意圖來進行交易。

對此，Google 設計了授權書 (Mandates) 的機制來強化交易雙方信任，它是一種防篡改且可驗證的交易證明，可作為每一筆交易實際執行的證據，有興趣了解這項機制的夥伴，可以進一步參考以下 Google 網站的說明。

未來，隨著支持這項協議的商家愈來愈多，讓 AI 自動地幫您尋找並購買喜愛的球鞋、限量發售的公仔，或是直接以自然語言告知 AI 您預計休假的時間，想要去日本旅遊的景點，偏好的住宿飯店地點和價格，往返想乘坐的航班，以及總預算的金額，以上這些不用再一一自己去查找和下訂了，只要 AI Agent 找到符合您設定條件的組合，就可以同時完成以上商品或服務的預訂和付款。

參考資料：
Powering AI commerce with the new Agent Payments Protocol (AP2)

[分享] 關於 NIST Cybersecurity Framework v2.0 轉版與驗證

NIST Cybersecurity Framework (NIST CSF) 已在2024年2月發布最新版的v2.0 (目前NIST官網有提供中文版可供下載)，針對有意想申請轉版或新驗證的組織，可參考以下的文章。

NIST Cybersecurity Framework (NIST CSF) 最早是在2014年2月，由美國白宮所發布的總統命令，要求美國聯邦機構和地方政府需依據美國國家標準暨技術研究院 (NIST) 所提出的網路安全框架 (CSF)，藉此來強化關鍵基礎設施的安全。(老文章請見 https://jackforsec.blogspot.com/2014/11/blog-post.html )

時至今日，NIST CSF 經過在2018年更新為 v1.1，到了2024年則升級為最新的 v2.0，可以應用實施的對象，也不再只侷限於關鍵基礎設施，而是適用於各行各業，只要有心想強化網路安全 (Cybersecurity) 的組織，都可以應用這個框架，相關文件也可以直接免費從 NIST 的官網 ( https://www.nist.gov/cyberframework ) 來下載。

新版主要的改變

除了適用的對象更廣泛之外，NIST CSF v2.0 最大的改變是在框架核心 (Framework Core) 中，從原本的五個功能：識別 (Identify)、保護 (Protect)、偵測 (Detect)、回應 (Respond) 及復原 (Recover) 之外，再加入了「治理 (Govern)」，成為了具有6大核心功能和85個控制措施 (Subcategories) 的好用工具，並且也將原先導入實施的7個步驟，再簡化成為5個。

基本上，NIST CSF 不是用來取代組織已實施的任何安全標準，而是希望和既有的管理體系和控制措施相結合，讓組織自訂想要達成的層級目標 (Tier 1 to Tier 4)，逐步提升能力來管理所面臨的網路安全風險 (Cybersecurity Risks)。如果組織本身已建立ISMS並取得ISO 27001的證書，在驗證範圍內業已實施了NIST CSF，還可以向第三方的驗證機構 (BSI) 申請驗證以取得獨立的一張 NIST CSF 的證書。

轉版與驗證注意事項

目前，針對想要新驗證和既有已獲得證書的組織，有以下事項可供做參考:

1. 舊版 NIST CSF 的證書 (v1.0 or v1.1) 從今年3月起算有二年的轉換期。

2. 持有舊版 NIST CSF 證書的組織，最晚在2027年3月1日之前要完成轉版的稽核，否則證書就會失效了。

3. 還想驗證舊版 NIST CSF 的組織，最晚要在明年2月底前完成，因為在2026年3月1日之後，就只能申請驗證 NIST CSF v2.0 了。